Lo studio Kaspersky

Comprate un cellulare economico? Attenti all’adware pre-installato, è pericoloso

L’allarme in un rapporto Kaspersky: alcuni vendor hanno dichiarato di incorporare adware – software che manda pubblicità – nei propri smartphone. Soprattutto in prodotti di fascia bassa. A volte non sono nemmeno disinstallabili e spesso sono una minaccia per la sicurezza del dispositivo

07 Lug 2020

Attenti ai cellulari economici: possono esporre a maggiori rischi cybersecurity e di protezione dei nostri dati: colpa degli adware pre-installati, che gli utenti si ritrovano “di fabbrica” nel prodotto appena acquistato.

Gli adware pre-installati negli smartphone

Lo segnala un rapporto Kaspersky, divulgato oggi. Il rischio è stimato “dall’uno al cinque per cento nei dispositivi di fascia bassa, e salire al fino al 27% nei casi più gravi”. L’azienda di security non cita i marchi, ma si limita a intendere che sono a rischio quelli più economici.  

“Alcuni vendor hanno dichiarato di incorporare adware nei propri smartphone. Mentre alcuni di loro permettono di disabilitarli, altri non concedono questa opzione, motivando la scelta come parte di un modello di business che abbatte i costi del dispositivo per l’utente finale. L’utente è spesso costretto a scegliere se comprare il dispositivo a prezzo pieno oppure acquistarlo a un prezzo inferiore visualizzando pubblicità per tutto il tempo del suo utilizzo”.

Gli adware sono installati a livello di partizione di sistema, quindi profondo, il che rende più difficile la loro eliminazione (anche con software antivirus) e permette loro inoltre di avere accesso a dati e funzioni maggiori, del cellulare.

I danni degli adware pre-installati

Ad esempio, alcuni dispositivi vengono forniti con un’applicazione denominata “AppStore”, che secondo i ricercatori di Kaspersky sembra essere un adware nascosto in grado di caricare sotto il radar e mostrarsi in finestre invisibili. Ciò consuma i dati e la carica della batteria, hanno sottolineato i ricercatori, ma l’app può anche scaricare ed eseguire codice JavaScript di terze parti.

L’app adware Plague è un’altra minaccia comune trovata da Kaspersky installata nella partizione di sistema. Finge di essere un servizio di sistema legittimo, che si autodefinisce Servizi Android, ma in realtà può scaricare e installare app alle spalle dell’utente, nonché visualizzare annunci nelle notifiche.

“Inoltre, Plague.f può visualizzare annunci in SYSTEM_ALERT_WINDOW, una finestra pop-up che si trova in cima a tutte le app”, hanno spiegato i ricercatori.

Trojan a livello di partizione di sistema

Gli adware di per sé sono un problema perché mostrano pubblicità indesiderata, consumano batteria; ma anche perché – come nel caso di Plague – sono porte aperte per l’ingresso di malware e trojan. 

“Gli adware sono software incontrollato e inaffidabile, spesso fuori dal Google Play Market”, spiega Paolo Dal Checco, tra i massimi esperti di mobile security. “Possono anche parlare con server remoti e aumentare i rischi di compromissione del dispositivo”, aggiunge.

Tra i più comuni di malware che Kaspersky ha trovato installati nella partizione di sistema degli smartphone Android – potenzialmente introdotti con adware preinstallato – ci sono i trojan Lezok e Triada. “Quest’ultimo è notevole per il suo codice degli annunci incorporato non solo ovunque, ma direttamente in libandroid_runtime – una libreria di chiavi utilizzata da quasi tutte le app sul dispositivo”, secondo l’analisi.

Il trojan Agent è invece un malware offuscato che di solito si nasconde nell’app che gestisce l’interfaccia grafica del sistema o nell’utilità Impostazioni, senza la quale lo smartphone non può funzionare correttamente. Il malware fornisce il suo payload, che a sua volta può scaricare ed eseguire file arbitrari sul dispositivo.

Poi c’è il Trojan Sivu, che è un dropper mascherato da un’app HTMLViewer. “Il malware è costituito da due moduli e può utilizzare i permessi di root sul dispositivo”, secondo Kaspersky. “Il primo modulo visualizza gli annunci sopra altre finestre e nelle notifiche. Il secondo modulo è una backdoor che consente il controllo remoto dello smartphone. Le sue funzionalità includono l’installazione, la disinstallazione e l’esecuzione di app, che possono essere utilizzate per installare in modo nascosto app legittime e dannose, a seconda degli obiettivi dell’intruso”.

Il trojan Necro.d è insolito, perché è una libreria nativa situata nella directory di sistema. Il meccanismo di avvio è incorporato in un’altra libreria di sistema, libandroid_servers.so, che gestisce il funzionamento dei servizi Android.

“Necro.d può scaricare, installare, disinstallare ed eseguire app”, hanno spiegato i ricercatori. “Inoltre, gli sviluppatori hanno deciso di lasciare una backdoor per l’esecuzione di comandi shell arbitrari”.

Come difendersi

Evitare cellulari super economici in particolare se comprati su negozi non noti, cinesi, è la prima linea di difesa. Un cellulare economico sarà più sicuro se comprato da un operatore o da una grande catena o da un grande shop online (si noti però che c’è una differenza tra l’acquisto diretto da Amazon e da uno dei tanti shopper cinesi).

Un antivirus può migliorare la sicurezza, ma spesso – come detto – gli adware non sono rilevabili né tanto meno rimovibili. È possibile installare un firmware alternativo (per esempio Stock Android), ma è un’operazione che può comportare qualche rischio, non è alla portata di tutti e certo invalida la garanzia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3